Das Thema
Nicht erst seit Geltung der Datenschutz-Grundverordnung (DS-GVO) und des neuen Bundesdatenschutzgesetzes (BDSG), die auch Änderungen im Arbeitnehmerdatenschutz mit sich brachten, sehen sich Arbeitgeber immer wieder vor dem rechtlichen Problem, wann, in welchem Umfang und wie auf die E-Mail-Postfächer ihrer Mitarbeiter zugegriffen werden kann. Hierbei steht in vielen Fällen nicht der Wunsch zur Verhaltens- und Leistungskontrolle der Mitarbeiter im Vordergrund. Vielmehr entsteht das Bedürfnis zum Zugriff oftmals in den Fällen, wenn Mitarbeiter unvorhergesehen für eine längere Zeit erkrankt oder aus sonstigen Gründen, sei es wegen Urlaub oder Elternzeit, betrieblich abwesend sind und hierfür keine Vorkehrungen getroffen wurden.
Besonders brisant wird die Frage nach einer rechtmäßigen Zugriffsmöglichkeit, wenn die Mitarbeiter ihr E-Mailpostfach nicht nur zu dienstlichen Zwecken nutzen dürfen, sondern auch privat. Ähnlich gelagerte Rechtsfragen stellen sich, wenn Ziel des arbeitgeberseitigen Zugriffs nicht ein E-Mailkonto eines Arbeitnehmers ist, sondern das eines Geschäftsführers. Wenn der Beitrag von Geschäftsführern spricht, sind jene Geschäftsführer gemeint, die keine Gesellschafter sind und keinen maßgeblichen Einfluss auf die Gesellschafterversammlung haben.
Zugriffsmöglichkeiten auf betriebliche E-Mail-Konten: Grundsätze
Grundsätzlich ist jeder Zugriff auf E-Mailpostfächer eine Verarbeitung personenbezogener Daten. An dieser Stelle kommt es noch nicht darauf an, ob es sich um personenbezogene Daten von Arbeitnehmern oder von Geschäftsführern handelt. Die Zugriffsmöglichkeit auf E-Mail-Postfächern richtet sich daher nach (arbeitnehmer-)datenschutzrechtlichen Grundsätzen. Eines der wichtigsten Credos im Datenschutzrecht ist der Grundsatz, dass die Verarbeitung personenbezogener Daten nur dann erlaubt ist, wenn eine Erlaubnisnorm greift.
Der Arbeitgeber kann sich bei Arbeitnehmern als Erlaubnisnorm grundsätzlich auf § 26 Absatz 1 Satz 1 BDSG berufen. Diese Regelung erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Hier ist stets eine Verhältnismäßigkeitsprüfung vorzunehmen und die Interessen des Arbeitgebers am Zugriff auf das E-Mailpostfach mit denen des Arbeitnehmers am Nichtzugriff abzuwägen.
§ 26 Absatz 1 Satz 2 BDSG regelt die Zugriffsmöglichkeiten zur Aufdeckung von Straftaten von Arbeitnehmern und lässt einen Zugriff unter bestimmten Voraussetzungen zu. Auch hier ist eine Verhältnismäßigkeitsprüfung, die sehr strengen Maßstäben unterliegt, vorzunehmen.
Auf Geschäftsführer ist § 26 BDSG mangels Beschäftigteneigenschaft nicht anwendbar (siehe § 26 Absatz 8 BDSG). Als Ermächtigungsgrundlage für ein Zugreifen auf das E-Mailpostfach ist vielmehr auf Art. 6 Absatz 1 lit. f DS-GVO abzustellen. Ausweislich des Wortlauts muss der Arbeitgeber ein berechtigtes Interesse am Zugriff auf die E-Maildaten haben und eine Abwägung der Interessen des Arbeitgebers mit denen des Geschäftsführers muss zu Gunsten des Arbeitgebers ausfallen.
Immer erforderlich: Verhältnismäßigkeitsprüfung und Interessenabwägung
Unabhängig davon, ob Zugriffsobjekt das E-Mailpostfach eines Arbeitsnehmers oder das eines Geschäftsführers ist, muss stets eine Verhältnismäßigkeitsprüfung und eine Interessenabwägung stattfinden. Hierbei kommen den Grundrechten des Arbeitgebers auf freie unternehmerische Betätigung (Artikel 12 Grundgesetz, Artikel 14 Grundgesetz) und den Persönlichkeitsrechten der Arbeitnehmer eine entscheidende Rolle zu. Die Grundrechte gelten zwar nicht unmittelbar im Verhältnis zwischen Arbeitgeber und Arbeitnehmer/Geschäftsführer, entfalten aber mittelbare Wirkung.
Eine weitere Einschränkung der arbeitgeberseitigen Zugriffsrechte ergibt sich im Rahmen der Interessenabwägung aus dem Grundsatz der Datenminimierung gemäß Art. 5 Absatz 1 lit. c DS-GVO. Die Verarbeitung personenbezogener Daten muss stets dem Zweck der Verarbeitung angemessen und erheblich sowie auf das notwendige Maß beschränkt werden. Ein übermäßiger und damit nicht mehr betrieblich erforderliche Zugriff scheidet somit aus diesem Grunde ebenfalls aus.
Rein dienstliche Nutzung des E-Mailpostfachs
Stellt der Arbeitgeber Betriebsmittel wie E-Mail-Postfächer zur Verfügung, ohne die Privatnutzung ausdrücklich zuzulassen, gilt der Grundsatz, dass Betriebsmittel nur dienstlich genutzt werden dürfen und deshalb eine Privatnutzung nicht erlaubt ist.
Entsteht ein betriebliches Erfordernis auf das E-Mailpostfach des Arbeitnehmers zuzugreifen (längere Krankheit des Arbeitnehmers, längere betriebliche Abwesenheit aus sonstigen Gründen), so kann ein Zugriff in der Regel auf § 26 Absatz 1 Satz 1 BDSG gestützt werden. Schließlich ist ein Zugriff auf das E-Mailpostfach zur Durchführung des Beschäftigungsverhältnisses erforderlich. In dieser Zeit können die eingehenden E-Mails mitgelesen werden.
Möchte der Arbeitgeber auf das E-Mailpostfach zugreifen, um eine mögliche Pflichtverletzung des Arbeitsnehmers aufzuklären, um gegebenenfalls arbeitsrechtliche Konsequenzen (Abmahnung, Kündigung) in die Wege zu leiten, ist zu beachten, dass bereits ein (begründeter) Verdacht auf eine Pflichtverletzung bestehen muss. Der Zugriff auf das E-Mailpostfach ist in diesem Falle auch nur insoweit rechtlich zulässig, wie es zur Aufklärung und/oder der Erhärtung des Verdachts der Pflichtverletzung erforderlich ist. Es dürfen also nicht alle E-Mails „durchforstet“ werden, sondern nur punktuell auf einen gewissen, für die Pflichtverletzung relevanten Zeitraum beschränkt. Eine Totalkontrolle des E-Mailpostfachs des Arbeitnehmers ist verboten. Ausdruck des Verhältnismäßigkeitsgrundsatzes kann es sein, dass der Arbeitnehmer (im Nachhinein) über den Zugriff informiert werden muss.
Bei rein dienstlich veranlasster Nutzung des E-Mailpostfachs des Arbeitnehmers sind die Persönlichkeitsrechte des Arbeitnehmers in weitaus geringem Maße betroffen, weshalb eine Interessenabwägung unter Beachtung des Verhältnismäßigkeitsgrundsatzes in der Regel zugunsten der unternehmerischen Freiheit des Arbeitgebers ausfallen wird. Dies dürfte auch dann gelten, wenn der Arbeitnehmer regelwidrig sein dienstliches E-Mailpostfach auch privat nutzt. Schließlich stellt in diesem Fall jede private Nutzung schon eine arbeitsvertragliche Pflichtverletzung des Arbeitnehmers dar, weshalb der Arbeitnehmer hier einem E-Mailpostfachzugriff ohne Weiteres kein schützenswertes Interesse entgegenhalten kann.
Geschäftsführer: Rein dienstliche Nutzung des E-Mailpostfachs
Handelt es sich nicht um Arbeitnehmer, sondern um Geschäftsführer, sind ähnliche Erwägungen anzustellen.
Bei rein dienstlich zulässiger Nutzung sind die berechtigten Interessen des Arbeitgebers an einem Zugriff (selbstverständlich stets im Rahmen der Erforderlichkeit) in der Regel höher zu werten als die Interessen des Geschäftsführers am Nichtzugriff. Zu beachten ist auch, dass bei einer auf Art. 6 Absatz 1 lit. f DS-GVO gestützten Datenverarbeitung der betroffene Geschäftsführer ein Widerspruchsrecht gegen die Verarbeitung hat (siehe Art. 21 DS-GVO). Übt der Geschäftsführer dieses Widerspruchsrecht aus, so ist ein Zugreifen auf das E-Mailpostfach (zunächst) nicht (mehr) zulässig, es sei denn der Arbeitgeber kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen des Geschäftsführers an der Nichtverarbeitung überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Es ist im Falle des Widerspruchs also eine weitere, strengeren Anforderungen unterliegende, Interessensabwägung und eine Zweckkontrolle durchzuführen.
Wenn die Privatnutzung ausdrücklich erlaubt ist
Unabhängig davon, ob es sich bei der betroffenen Person um einen Arbeitnehmer oder Geschäftsführer handelt, ist bei explizit erlaubter Privatnutzung von betrieblichen E-Mail-Postfächern umstritten, ob zu dem Erfordernis des Vorliegens einer datenschutzrechtlichen Erlaubnisnorm das Fernmeldegeheimnis gem. § 88 Telekommunikationsgesetz (TKG) eingreift. Dies würde bedeuten, dass ein unberechtigter Zugriff auf das E-Mailpostfach gemäß § 206 StGB strafbar wäre. Das TKG würde eingreifen, wenn der Arbeitgeber Telekommunikationsanbieter wäre.
Mehrere Aufsichtsbehörden, unter anderem das bayerische Landesamt für Datenschutzaufsicht, bejahen dies. Das Fernmeldegeheimnis gelte jedenfalls solange der Übertragungsvorgang in Bezug auf die betreffende E-Mail noch nicht beendet ist. Bei Einsatz von in der Praxis üblichen IMAP-Protokollen oder von Exchange-Postfächern ist dies regelmäßig der Fall, da die E-Mail bei jedem Zugriff neu übertragen wird. Folgt man dieser Auffassung ist das Fernmeldegeheimnis also bei erlaubter Privatnutzung stets zu beachten. Nach Auffassung des Bundesverfassungsgerichts in dessen Beschluss vom 16.06.2009 unter dem Aktenzeichen 2 BvR 902/06 endet der Schutz des Fernmeldegeheimnisses nicht, solange der Arbeitgeber ungehindert auf die E-Mails zugreifen kann. Die Konsequenz aus dieser Auffassung ist, dass eine Einsichtnahme durch den Arbeitgeber gemäß § 206 StGB strafbar und eine rechtlich zulässige Inhaltskontrolle der E-Mail-Konten durch den Arbeitgeber weitgehend unmöglich wäre.
Gerichte anderer Meinung
Die instanzgerichtliche Rechtsprechung sieht das bislang oftmals anders und qualifiziert den Arbeitgeber nicht als Telekommunikationsdiensteanbieter im Sinne des TKG. Vielmehr seien die Regelungen des Datenschutzes zu beachten (siehe zum Beispiel LAG Berlin-Brandenburg, Urt. v. 16. 2. 2011 − 4 Sa 2132/10). Die Prüfung der Zulässigkeit einer Kontrolle von E-Mails würde sodann oben genannten Grundsätzen folgen, jedoch mit der Besonderheit, dass dem Recht auf informationelle Selbstbestimmung des Arbeitnehmers und dessen Persönlichkeitsrechten bei einer Gewährung der privaten Nutzung eine wesentliche Rolle zukommen. Privater E-Mailverkehr betrifft regelmäßig die äußerst schützenswerte Privatsphäre des E-Mailpostfachinhabers. Der Arbeitnehmer/Geschäftsführer kann bei erlaubter Privatnutzung davon ausgehen und darf darauf vertrauen, dass der Arbeitgeber seine Privatsphäre wahrt und sie nicht unzulässig verletzt. An die Zulässigkeit von Zugriffen auf E-Mailpostfächer mit auch privatem Inhalt sind daher hohe Anforderungen zu stellen.
Ein Zugriff hierauf ist daher in der Regel auch nach der instanzgerichtlichen Rechtsprechung nur selten möglich.
Wenn zur Privatnutzung nichts geregelt ist
Ein weiteres Problemfeld eröffnet sich, wenn keine betrieblichen Regelungen hinsichtlich der Privatnutzung existieren, sondern sich die Privatnutzung lediglich im Betrieb „eingebürgert“ hat. In diesem Fall wird gern von „betrieblicher Übung“ gesprochen. Dies ist freilich etwas zu kurz gegriffen, da gute Grunde gegen die Annahme einer betrieblichen Übung sprechen. Schließlich handelt es sich bei der Gewährung der Privatnutzung des dienstlichen E-Mailpostfaches nur um eine Annehmlichkeit, die nicht Gegenstand einer betrieblichen Übung sein kann. Diese Diskussion ist jedoch für die Zugriffsmöglichkeit weniger relevant, sondern eher für die Frage, ob ein vertraglicher Anspruch der Arbeitnehmer auf Gewährung der Privatnutzung existiert oder ob die „eingebürgerte“ Privatnutzung mit Wirkung für die Zukunft abgeschafft werden kann. Möchte man auf E-Mails aus einer Zeit zuzugreifen, in der die private Nutzung des dienstlichen E-Mailpostfachs betrieblich üblich war, gelten die oben genannten Grundsätze.
Zugriffsmöglichkeiten auf betriebliche E-Mail-Konten: Praxistipps
Am besten beraten sind Arbeitgeber sicherlich, wenn sie die private Nutzung des dienstlichen E-Mailpostfaches generell untersagen. In Zeiten, in denen fast jeder Beschäftigte eine private E-Mailadresse und ein Smart Phone mit Daten-Flatrate besitzt, mit dem er jederzeit auf seine private E-Mailadresse zugreifen kann, ist es mehr als fraglich, ob die Privatnutzung des dienstlichen E-Mailpostfaches tatsächlich noch ein von den Mitarbeitern geschätzter corporate benefit darstellt.
Ist die Privatnutzung des E-Mailpostfachs ausdrücklich erlaubt oder ist unklar, ob sich diese vom Arbeitgeber geduldet womöglich im Betrieb „eingebürgert“ hat, sollten Arbeitgeber prüfen, ob sie die erlaubte beziehungsweise geduldete Privatnutzung nicht vielmehr beenden und eine rein dienstliche Nutzung zulassen wollen.
In jedem Fall sind Arbeitgeber gut beraten, eine private Nutzung nur dann zuzulassen, wenn der einzelne Arbeitnehmer oder Geschäftsführer den Arbeitgeber vom (womöglich einschlägigen) Fernmeldegeheimnis entbunden hat und in bestimmte Zugriffs- und Kontrollmöglichkeiten eingewilligt hat. Bei Gestaltung einer solchen Einwilligungserklärung sind die strengen Voraussetzungen des Datenschutzrechts an die Wirksamkeit von Einwilligungen im Beschäftigtenkontext zu beachten.
Besteht im Unternehmen ein Betriebsrat, sind auch dessen zwingende Mitbestimmungsrechte zu beachten.
Associate Partner
Rödl & Partner (Nürnberg)
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
Associate,
Rödl & Partner
(Nürnberg)
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
